У меня есть раздел администратора на моем сайте, где можно хранить элементы. После сохранения они отображаются в интерфейсе. Часть моего дисплея включает в себя код, подобный следующему:
echo "<p>".$rose['description']."</p>";
Нужно ли включать в него htmlspecialchars для защиты от xss на низком уровне?
Да, конечно, вы всегда должны очищать пользовательский ввод перед его выводом, чтобы предотвратить XSS-атаки. помните, что вы должны дезинфицировать пользовательский ввод перед его выводом, а не перед сохранением в БД, потому что вам не всегда нужно выводить html
htmlspecialchars, в зависимости от контекста вывода.)
- person DCoder; 13.04.2012
<script type="text/javascript">alert("HI");</script>в$row['description']и посмотреть, выдает ли он предупреждения? - person Andreas Wong schedule 13.04.2012